¿Qué son las tres líneas de defensa en una organización? ¿Cuál es el rol de Compliance en estas líneas?

Por: Ernesto Gómez Gallardo A.

Siguiendo con la idea de textos anteriores, intentando pintar una imagen más clara de la percepción de Compliance para las organizaciones, me parece que es importante hacer referencia al concepto de las “Tres Líneas de Defensa” que se utiliza mucho al hablar de controles internos, mitigación de riesgos, etc. Elementos esenciales en la finalidad de un programa de Compliance.

Las tres líneas de defensa son un modelo de gestión de riesgo que corren las organizaciones, y sobre todo, entender el papel que cada participante debe jugar en torno a afrontar las vulnerabilidades y materialización de los riesgos. Este ha sido adoptado cada vez más por muchas empresas para entender cómo funcionar de manera más segura.

Cuando escucho esto de “tres líneas de defensa” inmediatamente pienso en un contexto futbolero y me imagino a un director técnico explicando al equipo lo que hay que hacer para evitar que el contrario nos haga un gol. No se si sea por mi afición al deporte, pero me parece que la analogía funciona bastante bien para explicarlo.

• La primera línea de defensa es el ataque. Los primeros que por su función se enfrentan con el rival (los riesgos o los problemas en esta analogía) son el, los delanteros. Por ellos me refiero a quienes anotan para ganar en su función esencial, es decir los encargados “del negocio”. La gente que está directamente involucrada con generar ingresos o gestionar el giro de la organización, son los primeros que tienen contacto con clientes, proveedores, y otros terceros y por lo tanto quienes en adición a sus funciones “core”, deben llevar a cobo las actividades de cuidar no incurrir en riesgos innecesarios.
• La segunda línea de defensa es la media cancha. Los que llevan a cabo funciones de soporte en el equipo, especialistas en su ramo y quienes deben conocer bien de todas las posiciones para poder apoyar en lo que haga falta. Esta línea identifica los riesgos emergentes. En la organización, estas actividades las realizan los socios al negocio, a veces referidas como áreas funcionales. Como ejemplos: el departamento legal, finanzas, recursos humanos, administración de riesgos, etc. En caso de haberlo en la organización o de lo contrario las funciones propias de Compliance pertenecen a esta segunda línea.
• La tercera línea tiene la función específica de defender. Son especialistas y en el campo serían -valga la redundancia- los defensas. La tercera línea deber asegurar a la organización y dedicarse a parar los riesgos que esta afronta, tanto de forma preventiva como reactiva. Este rol dentro de la organización lo juega el área de auditoría interna. Quienes deben revisar los a la primer y segunda línea y asegurar que sean efectivos en sus procesos. Son quienes deben asegurar al director técnico (en esta analogía el consejo de administración y/o el comité de auditoría) de cualquier falta de control o fallas en la conducción del negocio.

Entender dónde estamos situados, por la naturaleza de nuestra función, nos ayuda a dentro de nuestras actividades diarias, tener conciencia del riesgo que corre la organización y como puedo ayudar a identificarlos y evitar que se materialice un problema.

Por lo que respecta a Compliance, como lo mencionaba antes, esta función pertenece a la segunda línea. Debe apoyar al negocio sobre la marcha, escuchar al negocio en sus inquietudes y en base a eso asesorarlo en elaborar las políticas adecuadas y revisar que estas se vayan cumpliendo por todos en el equipo.

Hay que considerar quienes deben ser los socios más activos de Compliance en el desarrollo de su rol. En principio podríamos pensar que sus pares en la segunda línea… jurídico sin duda es importante para la interpretación de las leyes y regulaciones. Se podría decir que sería auditoría interna ya que ellos se basaran en las políticas y los monitoreos para revisar que efectivamente se hayan llevado a cabo las cosas en el orden que fue planeado. Pero a mi forma de verlo, el socio más importante para la función de Compliance, es el negocio. Si el negocio no adquiere la cultura de cumplir con la regulación interna y externa, de muy poco servirán las otras líneas.

En Miranda Compliance, nuestra forma de entenderlo es no tener un Compliance policial, sino una cultura de cumplir impregnada en propio espíritu de la organización. Estaremos felices de ayudarte a hacerlo en tu compañía.

C O N T A C T O

Miranda – Compliance